I. - Les prestataires de services de paiement garantissent une identification sécurisée lors des communications entre le dispositif du payeur et les dispositifs du bénéficiaire visant à accepter les paiements électroniques, notamment, mais pas exclusivement, les terminaux de paiement.
II. - Les prestataires de services de paiement veillent à ce que les risques que la communication soit déviée vers des tiers non autorisés dans le cadre d'applications mobiles, ou d'autres interfaces pour utilisateurs de services de paiement, proposant des services de paiement électronique soient efficacement réduits.

I. - Les prestataires de services de paiement mettent en place des procédures qui garantissent que l'ensemble des opérations de paiement et des autres interactions avec l'utilisateur de services de paiement, avec d'autres prestataires de services de paiement et avec d'autres entités, y compris des commerçants, dans le cadre de la prestation du service de paiement, sont traçables, afin que l'ensemble des événements en rapport avec l'opération électronique durant ses différentes phases soient connus a posteriori.
II. - Aux fins du paragraphe 1, les prestataires de services de paiement veillent à ce que toute session de communication avec l'utilisateur de services de paiement, d'autres prestataires de services de paiement et d'autres entités, y compris des commerçants, s'appuie sur chacun des éléments suivants :
1° Un identifiant unique de la session ;
2° Des mécanismes de sécurité pour l'enregistrement détaillé de l'opération, y compris le numéro de l'opération, les horodatages et toutes les données pertinentes de l'opération ;
3° Des horodatages qui sont fondés sur un système unifié de représentation du temps et qui sont synchronisés conformément à un signal horaire officiel.

I. - Un prestataire de services de paiement gestionnaire de comptes qui propose à un payeur un compte de paiement accessible en ligne met en place au moins une interface qui remplit chacune des exigences suivantes :
1° Les prestataires de services d'information sur les comptes, les prestataires de services d'initiation de paiement et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte sont en mesure de s'identifier auprès du prestataire de services de paiement gestionnaire du compte ;
2° Les prestataires de services d'information sur les comptes sont en mesure de communiquer de manière sécurisée afin de demander et de recevoir des informations concernant un ou plusieurs comptes de paiement désignés et les opérations de paiement associées ;
3° Les prestataires de services d'initiation de paiement sont en mesure de communiquer de manière sécurisée pour initier un ordre de paiement à partir du compte de paiement du payeur et de recevoir toutes les informations sur l'initiation de l'opération de paiement et toutes les informations auxquelles le prestataire de services de paiement gestionnaire du compte a accès concernant l'exécution de l'opération de paiement.
II. - Aux fins de l'authentification de l'utilisateur de services de paiement, l'interface visée au I du présent article permet aux prestataires de services d'information sur les comptes et aux prestataires de services d'initiation de paiement de s'appuyer sur l'ensemble des procédures d'authentification proposées par le prestataire de services de paiement gestionnaire du compte à l'utilisateur de services de paiement.
L'interface remplit au moins l'ensemble des exigences suivantes :
1° Un prestataire de services d'initiation de paiement ou un prestataire de services d'information sur les comptes est en mesure de donner instruction au prestataire de services de paiement gestionnaire du compte de commencer l'authentification sur la base du consentement de l'utilisateur de services de paiement ;
2° Les sessions de communication entre le prestataire de services de paiement gestionnaire du compte, le prestataire de services d'information sur les comptes, le prestataire de services d'initiation de paiement et tout utilisateur de services de paiement concerné sont établies et maintenues tout au long de l'authentification ;
3° L'intégrité et la confidentialité des données de sécurité personnalisées et des codes d'authentification transmis par ou via le prestataire de services d'initiation de paiement ou le prestataire de services d'information sur les comptes sont garanties.
III. - Les prestataires de services de paiement gestionnaires de comptes veillent à ce que leurs interfaces suivent des normes de communication publiées par des organisations européennes ou internationales de normalisation.
Les prestataires de services de paiement gestionnaires de comptes veillent également à ce que les spécifications techniques des interfaces fassent l'objet d'une documentation mentionnant une série de routines, de protocoles et d'outils dont les prestataires de services d'initiation de paiement, les prestataires de services d'information sur les comptes et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte ont besoin pour permettre l'interopérabilité de leurs logiciels et applications avec les systèmes des prestataires de services de paiement gestionnaires de comptes.
Au minimum, les prestataires de services de paiement gestionnaires de comptes, au moins six mois avant la date d'application visée au II de l'article 38, ou avant la date prévue pour le lancement sur le marché de l'interface d'accès lorsque ce lancement a lieu après la date visée au II de l'article 38, mettent gratuitement à disposition cette documentation à la demande des prestataires agréés de services d'initiation de paiement, de services d'information sur les comptes et de services de paiement qui émettent des instruments de paiement liés à une carte ou des prestataires de services de paiement qui ont demandé l'agrément nécessaire à leurs autorités compétentes, et publient sur leur site internet un résumé de cette documentation.
IV. - Outre les dispositions prévues au III du présent article, les prestataires de services de paiement gestionnaires de comptes veillent à ce que, sauf en cas d'urgence, toute modification des spécifications techniques de leur interface soit mise à la disposition des prestataires agréés de services d'initiation de paiement, de services d'information sur les comptes et de services de paiement qui émettent des instruments de paiement liés à une carte ou des prestataires de services de paiement qui ont demandé l'agrément nécessaire à leurs autorités compétentes, dans les plus brefs délais et au moins trois mois avant la mise en œuvre de la modification.
Les prestataires de services de paiement décrivent par écrit les situations d'urgence dans lesquelles les modifications ont été mises en œuvre et mettent cette documentation à la disposition des autorités compétentes sur demande.
V. - Les prestataires de services de paiement gestionnaires de comptes mettent à disposition un dispositif d'essai, comprenant une assistance et permettant des tests de connexion et de fonctionnement, afin que les prestataires agréés de services d'initiation de paiement, de services d'information sur les comptes et de services de paiement qui émettent des instruments de paiement liés à une carte ou les prestataires de services de paiement qui ont demandé l'agrément nécessaire puissent tester les logiciels et applications qu'ils utilisent pour proposer un service de paiement aux utilisateurs. Il convient que ce dispositif d'essai soit mis à disposition au moins six mois avant la date d'application visée au II de l'article 38, ou avant la date prévue pour le lancement sur le marché de l'interface d'accès lorsque ce lancement a lieu après la date visée au II de l'article 38.
Aucune information sensible n'est toutefois partagée par l'intermédiaire du dispositif d'essai.
VI. - Les autorités compétentes veillent à ce que les prestataires de services de paiement gestionnaires de comptes respectent à tout moment les obligations prévues par les présentes normes en ce qui concerne l'interface ou les interfaces qu'ils ont mises en place. Si un prestataire de services de paiement gestionnaire de comptes ne remplit pas les exigences relatives aux interfaces définies par les présentes normes, les autorités compétentes veillent à ce que la prestation des services d'initiation de paiement et des services d'information sur les comptes ne soit pas empêchée ou perturbée, dans la mesure où les prestataires respectifs de ces services satisfont aux conditions définies au V de l'article 33.

Les prestataires de services de paiement gestionnaires de comptes établissent l'interface ou les interfaces visées à l'article 30 en mettant en place une interface dédiée ou en permettant l'utilisation par les prestataires de services de paiement visés au I de l'article 30, des interfaces servant à l'authentification et à la communication avec les utilisateurs de services de paiement des prestataires de services de paiement gestionnaires de comptes.

I. - Sous réserve du respect des articles 30 et 31 du présent arrêté, les prestataires de services de paiement gestionnaires de comptes qui ont mis en place une interface dédiée veillent à ce que celle-ci offre à tout moment le même niveau de disponibilité et de performances, assistance comprise, que les interfaces mises à la disposition de l'utilisateur de services de paiement pour accéder directement à son compte de paiement en ligne.
II. - Les prestataires de services de paiement gestionnaires de comptes qui ont mis en place une interface dédiée définissent des indicateurs de performance clés et des valeurs cibles de niveau de service qui soient transparents et au moins aussi exigeants que ceux fixés pour l'interface utilisée par leurs utilisateurs de services de paiement, tant sur le plan de la disponibilité que des données fournies conformément à l'article 36. Ces interfaces, indicateurs et valeurs cibles sont contrôlés par les autorités compétentes et soumis à un test de résistance.
III. - Les prestataires de services de paiement gestionnaires de comptes qui ont mis en place une interface dédiée veillent à ce que cette interface n'entrave pas la prestation de services d'initiation de paiement et d'information sur les comptes. Les entraves peuvent consister notamment à empêcher l'utilisation par les prestataires de services de paiement visés au I de l'article 30, des données de sécurité émises par les prestataires de services de paiement gestionnaires de comptes à l'intention de leurs clients, à imposer la redirection vers l'authentification ou d'autres fonctions du prestataire de services de paiement gestionnaire du compte, à exiger des agréments et enregistrements en plus de ceux prévus aux articles L. 522-6, L. 522-8, L. 522-10, L. 612-2, L. 612-21 et R. 612-20 du code monétaire et financier ou à demander des contrôles supplémentaires du consentement donné par les utilisateurs de services de paiement aux prestataires de services d'initiation de paiement et d'information sur les comptes.
IV. - Pour l'application des I et II du présent article, les prestataires de services de paiement gestionnaires de comptes contrôlent la disponibilité et les performances de l'interface dédiée. Les prestataires de services de paiement gestionnaires de comptes publient sur leur site internet des statistiques trimestrielles concernant la disponibilité et les performances de l'interface dédiée et de l'interface utilisée par leurs utilisateurs de services de paiement.

I. - Les prestataires de services de paiement gestionnaires de comptes prévoient, lors de la conception de l'interface dédiée, une stratégie et des plans relatifs à des mesures d'urgence au cas où l'interface ne fonctionnerait pas conformément à l'article 32, où elle serait indisponible de façon imprévue et où le système tomberait en panne. Une indisponibilité imprévue ou une panne du système peut être présumée lorsque cinq demandes consécutives d'accès aux informations pour la prestation de services d'initiation de paiement ou de services d'information sur les comptes n'obtiennent pas de réponse dans les 30 secondes.
II. - Les mesures d'urgence comprennent des plans de communication visant à informer les prestataires de services de paiement qui utilisent l'interface dédiée des mesures destinées à restaurer le système ainsi qu'une description des autres options immédiatement disponibles dont les prestataires de services de paiement peuvent faire usage pendant ce temps.
III. - Le prestataire de services de paiement gestionnaire du compte et les prestataires de services de paiement visés au I de l'article 30, notifient sans délai les problèmes liés aux interfaces dédiées décrits au paragraphe 1 à leurs autorités compétentes nationales respectives.
IV. - Dans le cadre d'un mécanisme d'urgence, les prestataires de services de paiement visés au I de l'article 30, sont autorisés à utiliser les interfaces mises à la disposition des utilisateurs de services de paiement en vue de l'authentification et de la communication avec leur prestataire de services de paiement gestionnaire de comptes, jusqu'à ce que l'interface dédiée retrouve le niveau de disponibilité et de performances prévu à l'article 32.
V. - Pour l'application du présent article, les prestataires de services de paiement gestionnaires de comptes veillent à ce que les prestataires de services de paiement visés au I de l'article 30, puissent être identifiés et s'appuyer sur les procédures d'authentification proposées par le prestataire de services de paiement gestionnaire du compte à l'utilisateur de services de paiement. Lorsqu'ils utilisent l'interface visée au IV du présent article, les prestataires de services de paiement visés au I de l'article 30 :
1° Prennent les mesures nécessaires pour garantir qu'ils n'accèdent pas à des données ou qu'ils ne conservent ou ne traitent pas de données à des fins autres que la prestation du service demandé par l'utilisateur de services de paiement ;
2° Continuent à se conformer aux obligations découlant respectivement des 1° et 2° du II de l'article L. 133-40 et du II de l'article L. 133-41 du code monétaire et financier ;
3° Enregistrent les données auxquelles ils ont accès par l'intermédiaire de l'interface exploitée par le prestataire de services de paiement gestionnaire de comptes pour ses utilisateurs de services de paiement et fournissent ce registre, sur demande et sans retard injustifié, à leur autorité nationale compétente ;
4° Justifient dûment auprès de leur autorité nationale compétente, sur demande et sans retard injustifié, l'utilisation de l'interface mise à la disposition des utilisateurs de services de paiement pour accéder directement à leur compte de paiement en ligne ;
5° Informent en conséquence le prestataire de services de paiement gestionnaire du compte.
VI. - Les autorités compétentes, exemptent les prestataires de services de paiement gestionnaires de comptes qui ont choisi une interface dédiée de l'obligation de mettre en place le mécanisme d'urgence décrit au IV du présent article lorsque l'interface dédiée remplit l'ensemble des conditions suivantes :
1° Elle est conforme à l'ensemble des obligations applicables aux interfaces dédiées, telles qu'énoncées à l'article 32 ;
2° Elle a été conçue et testée conformément au V de l'article 30, à la satisfaction des prestataires de services de paiement qui y sont mentionnés ;
3° Elle a été largement utilisée pendant au moins trois mois par des prestataires de services de paiement en vue de proposer des services d'information sur les comptes et des services d'initiation de paiement et de confirmer la disponibilité des fonds pour des paiements liés à une carte ;
4° Tout problème lié à l'interface dédiée a été résolu sans retard injustifié.
VII. - Les autorités compétentes annulent la dérogation visée au VI du présent article, lorsque les conditions mentionnées aux 1° et au 4° ne sont pas remplies par les prestataires de services de paiement gestionnaires de comptes pendant plus de deux semaines civiles consécutives. Elles veillent à ce que le prestataire de services de paiement gestionnaire de comptes mette en place, dans les plus brefs délais et au plus tard dans les deux mois, le mécanisme d'urgence visé au IV du présent article.

I. - Pour l'application du 1° du I de l'article 30, les prestataires de services de paiement ont recours à des certificats qualifiés de cachet électronique ou à des certificats qualifiés d'authentification de site internet tels que prévu par la réglementation en vigueur localement en matière d'identification et d'authentification électronique.
II. - Pour l'application du présent arrêté, le numéro d'immatriculation est le numéro d'agrément des prestataires de services de paiement qui émettent des instruments de paiement liés à une carte, des prestataires de services d'information sur les comptes et des prestataires de services d'initiation de paiement (y compris des prestataires de services de paiement gestionnaires de comptes fournissant ces services), disponible auprès de l'Autorité de contrôle prudentiel et de résolution.
III. - Pour l'application du présent arrêté, les certificats qualifiés de cachet électronique ou d'authentification de site internet visés au I du présent article, contiennent, dans une langue usuelle dans la sphère financière internationale, des attributs spécifiques supplémentaires concernant le rôle du prestataire de services de paiement, qui peut consister en une ou plusieurs des fonctions suivantes :
1° La gestion de comptes ;
2° L'initiation de paiements ;
3° L'information sur les comptes ;
4° L'émission d'instruments de paiement liés à une carte.
IV. - Les attributs visés au III du présent article n'ont pas d'incidence sur l'interopérabilité et la reconnaissance des certificats qualifiés de cachet électronique ou d'authentification de site internet.

I. - Les prestataires de services de paiement gestionnaires de comptes, les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte, les prestataires de services d'information sur les comptes et les prestataires de services d'initiation de paiement veillent à ce que, lors de l'échange de données par l'internet, un cryptage sécurisé soit utilisé entre les parties communicantes tout au long de la session de communication concernée afin de préserver la confidentialité et l'intégrité des données, à l'aide de techniques de cryptage performantes et largement reconnues.
II. - Les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte, les prestataires de services d'information sur les comptes et les prestataires de services d'initiation de paiement font en sorte que les sessions d'accès proposées par les prestataires de services de paiement gestionnaires de comptes soient aussi brèves que possible et mettent activement fin à toute session de ce type dès que l'action demandée a été menée à bien.
III. - Lorsqu'ils maintiennent des sessions de réseau parallèles avec le prestataire de services de paiement gestionnaire du compte, les prestataires de services d'information sur les comptes et les prestataires de services d'initiation de paiement veillent à ce que ces sessions soient liées de manière sécurisée aux sessions correspondantes établies avec l'utilisateur ou les utilisateurs de services de paiement, afin d'éviter que des messages ou des informations qu'ils se communiquent puissent être détournés.
IV. - Les prestataires de services d'information sur les comptes, les prestataires de services d'initiation de paiement et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte avec le prestataire de services de paiement gestionnaire du compte indiquent des références claires à chacun des éléments suivants :
1° L'utilisateur ou les utilisateurs de services de paiement et la session de communication correspondante, afin d'opérer une distinction entre plusieurs demandes émanant du ou des mêmes utilisateurs de services de paiement ;
2° Pour les services d'initiation de paiement, l'opération de paiement initiée, identifiée de manière unique ;
3° Pour la confirmation de la disponibilité des fonds, la demande identifiée de manière unique portant sur le montant nécessaire pour l'exécution de l'opération de paiement liée à une carte.
V. - Les prestataires de services de paiement gestionnaires de comptes, les prestataires de services d'information sur les comptes, les prestataires d'initiation de paiement et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte veillent à ce que, lorsqu'ils communiquent des données de sécurité personnalisées et des codes d'authentification, ceux-ci ne soient à aucun moment lisibles, directement ou indirectement, par un membre du personnel.
En cas de perte de confidentialité des données de sécurité personnalisées relevant de leur compétence, ces prestataires informent sans délai l'utilisateur de services de paiement qui leur est associé, ainsi que l'émetteur des données de sécurité personnalisées.

I.-Les prestataires de services de paiement gestionnaires de comptes remplissent chacune des exigences suivantes :
1° Ils fournissent aux prestataires de services d'information sur les comptes les mêmes informations provenant des comptes de paiement désignés et des opérations de paiement associées que celles qui sont mises à la disposition de l'utilisateur de services de paiement en cas de demande directe d'accès aux informations sur le compte, pour autant que ces informations ne comportent pas de données de paiement sensibles ;
2° Immédiatement après avoir reçu l'ordre de paiement, ils fournissent aux prestataires de services d'initiation de paiement les mêmes informations sur l'initiation et l'exécution de l'opération de paiement que celles qui sont fournies ou mises à la disposition de l'utilisateur de services de paiement lorsque ce dernier initie directement l'opération ;
3° Sur demande, ils fournissent immédiatement aux prestataires de services de paiement la confirmation, sous la forme d'un simple " oui " ou " non ", que le montant nécessaire à l'exécution d'une opération de paiement est disponible ou non sur le compte de paiement du payeur.
II.-En cas d'erreur ou d'événement imprévu au cours de la procédure d'identification ou d'authentification ou lors de l'échange d'éléments d'information, le prestataire de services de paiement gestionnaire du compte envoie un message de notification au prestataire de services d'initiation de paiement ou au prestataire de services d'information sur les comptes et au prestataire de services de paiement qui émet des instruments de paiement liés à une carte, en indiquant les raisons de l'erreur ou de l'événement imprévu.
Lorsque le prestataire de services de paiement gestionnaire du compte propose une interface dédiée conformément à l'article 32, l'interface prévoit que des messages de notification des erreurs ou événements imprévus soient transmis par tout prestataire de services de paiement qui décèle l'événement ou l'erreur aux autres prestataires de services de paiement participant à la session de communication.
III.-Les prestataires de services d'information sur les comptes mettent en place des mécanismes appropriés et efficaces qui empêchent l'accès à d'autres informations que celles provenant des comptes de paiement désignés et des opérations de paiement associées, conformément au consentement explicite de l'utilisateur.
IV.-Les prestataires de services d'initiation de paiement fournissent aux prestataires de services de paiement gestionnaires de comptes les mêmes informations que celles qui sont demandées à l'utilisateur de services de paiement lors de l'initiation directe de l'opération de paiement.
V.-Les prestataires de services d'information sur les comptes sont en mesure d'accéder aux informations provenant des comptes de paiement désignés et des opérations de paiement associées qui sont détenues par les prestataires de services de paiement gestionnaires de comptes aux fins de la prestation des services d'information sur les comptes dans l'une des situations suivantes :
1° Chaque fois que l'utilisateur de services de paiement demande spontanément ces informations ;
2° Si l'utilisateur de services de paiement ne demande pas spontanément ces informations, au maximum quatre fois par période de 24 heures, sauf si une fréquence plus élevée est convenue entre le prestataire de services d'information sur les comptes et le prestataire de services de paiement gestionnaire du compte, avec le consentement de l'utilisateur de services de paiement.

Le présent arrêté est applicable à l'office des postes et télécommunications de Nouvelle-Calédonie et de Polynésie française.
Le présent arrêté s'applique à partir du 31 décembre 2020.

Le présent arrêté sera publié au Journal officiel de la République française.